LAB 12 : VIẾT CENTRALIZED POLICY ĐỂ LEAKING ROUTE GIỮA CÁC SERVICE VPN
I. Sơ đồ
II. Yêu cầu kỹ thuật
III. Các bước thực hiện
3.1. Viết hai Feature Template cho VPN1 dành cho server
Đầu tiên ta vào giao diện vManage > Configuration > Template > Feature > Add Template.
Ở phần Select Devices ta chọn thiết bị vEdge cloud rồi chọn mục VPN
Tiếp theo vào mục VPN ta cấu hình như sau:
Template Name: vEdge_VPN1
Description: vEdge_VPN1
VPN: 1
Cuối cùng chọn Save để tạo được cái Feature Template đầu tiên
Chọn vManage > Configuration > Template > Feature > Add Template.
Tạo template cho VPN 1 interface như bên dưới:
Chọn Save để tạo Template
3.2. Tạo một Device Template
Ở giao diện vManage, Configuration > Templates (tab Device).
Chọn Create Template > From Feature Template.
Chọn Device Model (vEdge Cloud).
Device Model: vEdge Cloud
Nhập Template Name (vEdge_VPN1), Description (vEdge_VPN1).
Trong phần Basic Information thì để mặc định nếu có những template tương ứng thì có thể chọn vào.
Đối với phần Transport & Management VPN, ta chọn lần lượt các Feature Template cũ sau:
VPN0: vEdge_VPN0
VPN Interface: vEdge_VPN0_INTGE0/0
VPN Interface: vEdge_VPN0_INTGE0/0
VPN512: vEdge_VPN512
VPN Interface: vEdge_VPN_INTE0
Ở Service VPN, ta lần lượt chọn các template tương ứng với các mục như sau:
VPN: vEdge_VPN12
OSPF: vEdge_OSPF
VPN Interface: vEdge_VPN12_INTGE0/3
VPN: vEdge_VPN1
VPN Interface: vEdge_VPN1_INTGE0/2
Chọn Create để hoành thành Device Template
Tiến hành cấu hình thiết bị vEdge bằng cách Attach Devices
Chọn thiết bị vEdge ở ba site: SITE1
Chọn Attach
Chọn Update > Next > Configure Device
Dùng lệnh ping từ win22 ở VPN12 sang server ở VPN1
Sẽ báo không tìm thấy được đích đến, nên giờ ta sẽ viết policy để VPN12 ping được VPN1
3.3. Viết Centralized Policy leaking route để VPN12 có thể giao tiếp đến VPN1 của server
Vào giao diện vManage > Configuration > Policies > Centralized Policy > Add Policy
Sau đó ta vào Site > New Site List để thêm lần lượt ba site
Bước tiếp theo chọn VPN > New VPN List để tạo vpn1 và vpn12
Sau khi đã tạo xong các Site và VPN thì ta chọn Next để qua bước tiếp theo
Tiếp theo xuất hiệu giao diện sau, ta chọn Topology > Add Topology
Hãy chọn Custom Control (Route & TLOC) để tạo ra những điều kiện cho policy
Bước tiếp chỉnh sửa những thông số như sau cho policy:
Name: leaking_route1
Description: leaking_route1
Bước tiếp theo, hãy chọn Sequence Type, rồi sau đó chọn Route để tạo policy áp dụng trên OMP.
Chọn Sequence Rule, sau đó ở phần Match Conditions là phần điều kiện chọn vpn12 và phần Actions thì ta chọn Export To vpn1 (có nghĩa là nếu bất kì route của VPN12 đều được chuyển qua cho VPN1 học)
Ta thực hiện tương tự như bước trên nhưng ngược lại là Match Conditions là: vpn1 và Export To là vpn12
Sau đó ở phần Default Action > Actions, ta chọn Accept rồi chọn Save Match And Actions.
Bước tiếp theo, hãy chọn Save Control Policy để lưu policy, xong chọn Next > Next để qua bước cuối.
Sau đó ta thấy xuất hiện giao diện để tạo tên và mô tả cho policy
Policy Name: Leaking_Route
Policy Description: Leaking_Route
Ở phần New Site List, ta chọn lần lượt site1, site2, site3 theo hướng vào (in)
Chọn Save Policy để hoàn thành tạo policy
Cuối cùng ta kích hoạt policy vừa tạo xong bằng cách chọn Activate
IV. Kiểm tra
Kiểm tra trên thiết bị vEdge lần lượt ở ba site bằng lệnh show ip routes vpn 12 thì ta thấy VPN12 đã học được route của VPN1
Thực hiện lệnh ping từ Win22 của VPN12 sang server của VPN1 ở SITE1
Thực hiện lệnh ping từ Win23 của VPN12 sang server của VPN1 ở SITE2
Thực hiện lệnh ping từ Win24 của VPN12 sang server của VPN1 ở SITE3
Tác giả: Nhóm SD-WAN - phòng kỹ thuật VnPro
